PowerScale: NTLM-godkjenning er deaktivert når klyngen kjører i FIPS-kompatibel modus, etter OneFS 9.5

Summary: Fra OneFS 9.5 og fremover deaktiveres NTLM-godkjenning når klyngen opererer i FIPS-kompatibel modus (forsterkning).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Check out other resources

Symptoms

I samsvar med strengere FIPS-krav vil aktivering av forsterkning på en PowerScale-klynge som kjører OneFS 9.5 eller nyere, føre til deaktivering av NTLM-godkjenning. Denne funksjonen kan ikke aktiveres på nytt, siden godkjenning av ikke-NTLM er et krav for FIPS-samsvar i versjon 9.5 og nyere. Derfor vil bare Kerberos-godkjenning (KRB) være tilgjengelig. Denne endringen påvirker hovedsakelig SMB-klienter, men kan påvirke alle klienter som bruker NTLM-godkjenning. Hvis klienter ikke er konfigurert for Kerberos-godkjenning før forsterkning aktiveres, vil de oppleve at data blir utilgjengelige (DU) fordi de ikke kan godkjennes i klyngen ved hjelp av NTLM.

Cause

Fra versjon 9.5 og utover vil klyngen ikke lenger annonsere gss-ntlm som godkjenningsmetode hvis herding er aktivert. Denne endringen er tilsiktet og skyldes strengere sikkerhetskrav for FIPS. Klyngen vil bare annonsere gss-krb5 som den tilgjengelige autentiseringsmetoden.

Resolution

Det er svært viktig å sikre at alle klienter, spesielt SMB-klienter, bruker Kerberos som godkjenningsmetode før herding aktiveres på klynger som kjører OneFS 9.5 eller nyere.

For SMB-klienter kan du kontrollere om noen tilkoblede klienter bruker NTLM ved å kjøre følgende kommando:
isi_for_array -sX 'isi smb sessions list'

Hvis noen av klientene som for øyeblikket er tilkoblet, er oppført i formatet domain\username, bruker de NTLM-godkjenning.

MyCluster-6: Lnn  Computer     User
MyCluster-6: --------------------------------------
MyCluster-6: 6    10.60.34.202 MYDOMAIN\Administrator
MyCluster-6: --------------------------------------
MyCluster-6: Total: 1

Hvis noen av klientene som for øyeblikket er tilkoblet, er oppført i formatet username@domain.com, bruker de Kerberos-godkjenning (KRB).

MyCluster-6: Lnn  Computer     User
MyCluster-6: ------------------------------------------
MyCluster-6: 6    10.60.34.202 Administrator@MYDOMAIN.COM
MyCluster-6: ------------------------------------------
MyCluster-6: Total: 1

Hvis du vil ha mer informasjon om Kerberos-godkjenning (KRB) for SMB-klienter, kan du se denne ressursen

Affected Products

Isilon, PowerScale

Article Number: 000274777

Article Type: Solution

Last Modified: 14 Feb 2025

Version: 2

Check if your device is covered by Support Services.

PowerScale: NTLM-godkjenning er deaktivert når klyngen kjører i FIPS-kompatibel modus, etter OneFS 9.5

Summary: Fra OneFS 9.5 og fremover deaktiveres NTLM-godkjenning når klyngen opererer i FIPS-kompatibel modus (forsterkning).

Symptoms

Cause

Resolution

Affected Products

Article Properties

Find answers to your questions from other Dell users

Support Services

Article Properties

Find answers to your questions from other Dell users

Support Services

PowerScale: NTLM-godkjenning er deaktivert når klyngen kjører i FIPS-kompatibel modus, etter OneFS 9.5

Summary: Fra OneFS 9.5 og fremover deaktiveres NTLM-godkjenning når klyngen opererer i FIPS-kompatibel modus (forsterkning).

Detailed Article

Symptoms

Cause

Resolution

Affected Products

Symptoms

Cause

Resolution

Affected Products

Article Properties

Find answers to your questions from other Dell users

Support Services

Article Properties

Find answers to your questions from other Dell users

Support Services